Statische Secrets sind die strukturelle Schwäche hybrider ITMaschinenidentitäten werden zur Sicherheitsfrage im Mittelstand
Ein Gastbeitrag von
Roland Baum
5 min Lesedauer
Hybride Infrastrukturen lassen die Zahl der Maschinenidentitäten rasant wachsen, doch viele Unternehmen sichern sie noch mit statischen API-Keys, Tokens und manuell gepflegten Zertifikaten. Der Open-Source-Standard SPIFFE und die Referenzimplementierung SPIRE bieten automatisierte, kurzlebige Workload-Identitäten, die Secrets überflüssig machen.
Statische Secrets sind die strukturelle Schwäche hybrider IT. SPIFFE und SPIRE ersetzen sie durch automatisierte, kurzlebige Workload-Identitäten für den Mittelstand.
Microservices, Container-Plattformen und hybride Infrastrukturen haben die Art verändert, wie Anwendungen miteinander kommunizieren. Gleichzeitig basieren viele Sicherheitsmechanismen noch immer auf statischen Zugangsdaten, manueller Pflege und implizitem Vertrauen. Der Open-Source-Standard SPIFFE und dessen Referenzimplementierung SPIRE etablieren einen neuen Ansatz: automatisierte, überprüfbare Identitäten für jede Maschine und jeden Service.
Im Mittelstand gleicht keine IT-Landschaft der anderen: Ein Teil läuft On-Premises, ein Teil in der Cloud, dazu kommen Container-Plattformen, CI/CD-Pipelines, externe Dienstleisterzugänge und zunehmend auch Automatisierung über APIs. Mit jeder neuen Schnittstelle wächst die Zahl der Maschinenidentitäten – also Identitäten, mit denen Services, Workloads, Skripte, Jobs oder Plattformkomponenten untereinander kommunizieren.
Das Problem: Viele Umgebungen lösen diese Identitätsfrage weiterhin mit Mechanismen, die für dynamische Architekturen nicht gebaut wurden:
API-Keys und statische Tokens werden in Pipelines, Configs oder Secret-Stores verteilt – und damit vervielfältigt.
Zertifikate sind zwar sicher, aber häufig schwer zu automatisieren und in der Praxis zu langlebig oder zu aufwendig.
IAM-Rollen und Policies sind oft manuell gepflegt, inkonsistent dokumentiert und schwierig über Systemgrenzen hinweg nachzuvollziehen.
Vertrauen in Netzwerkannahmen funktioniert in hybriden und Cloud-nativen Setups immer schlechter.
In der Summe entsteht ein typisches Muster: Je dynamischer die Umgebung, desto stiefmütterlicher wird Identity and Access Management (IAM) behandelt. Meist sprechen dafür Secrets, die quer über die Infrastruktur verteilt werden. Und genau darin verbirgt sich die strukturelle Schwäche. Ein Service braucht initiale Zugangsdaten, um sich zu legitimieren. Diese Secrets werden damit zum dauerhaften Angriffspunkt, müssen rotiert werden und sind im Incident-Fall schwer einzugrenzen.
SPIFFE und SPIRE als Fundament für Workload-Identitäten
SPIFFE (Secure Production Identity Framework for Everyone) setzt genau an dieser Stelle an – nicht als weiteres Tool zum Verwalten von Secrets, sondern als Standard für Workload-Identitäten. Statt statischer Zugangsdaten erhält jeder Workload eine eindeutige Identität, die unabhängig davon ist, wo er läuft. Technisch geschieht das über:
SPIFFE-IDs (zum Beispiel spiffe://unternehmen.local/payments/service-a) und
kurzlebige Identitätsnachweise (SVIDs) als X.509-Zertifikate oder JWTs.
Der entscheidende Punkt daran: Die Identitätsverwaltung wird automatisierbar und überprüfbar, ohne dass Teams Schlüsselmaterial dauerhaft in Konfigurationen oder Pipelines verteilen müssen.
SPIRE ist dabei die Referenzimplementierung von SPIFFE – also die Laufzeitumgebung. Es sorgt in der Praxis dafür, dass Identitäten:
automatisch ausgestellt,
regelmäßig erneuert und
im Betrieb sicher bereitgestellt werden.
SPIRE übernimmt dabei die Rolle der „Vertrauensinstanz“ (Server) und der lokalen Vermittler (Agents) auf den Nodes/Plattformen. Die eigentliche Vertrauenskette wird über eine Public-Key-Infrastruktur (PKI) realisiert, auf deren Basis der Server automatisch kurzlebige Identitätsnachweise ausstellt und so für eine sichere Authentifizierung sorgt. Für Admins ist das relevant, weil SPIRE die Brücke zwischen Plattformrealität (Kubernetes, VMs, Cloud) und Identitätsmodell (SPIFFE-IDs + SVIDs) schlägt.
Wichtig: SPIFFE/SPIRE lösen primär Authentisierung (Wer/was bist du?). Die Autorisierung (Was darfst du?) bleibt weiterhin Aufgabe von Policies und Zugriffskontrollmechanismen. Sie stellen also kein „neues Allheilmittel“ für die Security dar, sondern lösen ein echtes Problem in der Operational IT, das leicht unterschätzt oder gar übersehen wird.
Gerade für mittelständische Unternehmen, die sich mitten in der Digitalisierung befinden, ist das besonders relevant: Häufig trifft man auf die Situation „Wir haben kein großes Security-Team, aber eine stetig wachsende technische Komplexität.“
Genau hier spielt SPIRE seine Stärke aus, denn es ermöglicht ein höheres Sicherheitsniveau bei gleichzeitig geringerem operativem Aufwand, indem sicherheitskritische Aufgaben wie Identitätsvergabe, Rotation und Widerruf automatisiert werden. Die entstehende Komplexität wird dabei nicht durch zusätzliche Prozesse, Dokumentation oder manuelle Kontrollen verwaltet, sondern systemisch aus der Plattform entfernt – Sicherheit entsteht durch Architektur, nicht durch Disziplin.
SPIFFE: Schrittweise Einführung in bestehenden Umgebungen
Bei der Einführung von SPIFFE bewährt sich ein schrittweises Vorgehen, das die bestehenden Mechanismen zum Verteilen neuer Secrets sukzessive ersetzt. Gerade in hybriden Umgebungen ist diese evolutionäre Einführung entscheidend für Stabilität und Akzeptanz im Betrieb.
Phase 1: Transparenz schaffen und Abhängigkeiten verstehen
Am Anfang steht die Bestandsaufnahme: Welche Services kommunizieren miteinander und wie werden Credentials aktuell an diese Services verteilt? In vielen Umgebungen existieren API-Keys, Zertifikate und IAM-Rollen parallel – häufig historisch gewachsen und nur teilweise dokumentiert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In dieser Phase geht es weniger um technische Umsetzung als um Struktur. Ziel ist es, Kommunikationsbeziehungen sichtbar zu machen und jene Prozesse zu identifizieren, bei denen Identität heute implizit aus Infrastrukturannahmen abgeleitet oder über statische Credentials konfiguriert wird. Diese Analyse bildet die Grundlage für eine spätere Zuordnung von SPIFFE-IDs.
Im nächsten Schritt wird eine eigene Trust Domain für SPIFFE definiert. Sie bildet den kryptografischen und organisatorischen Rahmen für alle Machine Identities. Parallel dazu erfolgt die Installation der SPIRE-Infrastruktur sowie der Agenten auf ausgewählten Knoten oder Plattformen.
In dieser Phase laufen bestehende Authentifizierungsmechanismen in der Regel weiter parallel. SPIFFE wird zunächst als zusätzlicher Dienst für Service-Identitäten bereitgestellt und der Betrieb wird etabliert, ohne produktive Abhängigkeiten sofort umzubauen.
Phase 3: Erste produktive Nutzung über mTLS
Sobald SPIFFE-IDs zuverlässig ausgestellt werden, kann die erste produktive Nutzung erfolgen. Um schnell Quick-Wins zu generieren, bieten sich interne Service-zu-Service-Kommunikation (REST/gRP), Infrastruktur-Services (Monitoring, Telemetrie) und mTLS-fähige Komponenten an (Service Meshes, Ingress-Proxies). Sie lassen sich durch technisches Ownership mit einem hohen Sicherheitsgewinn umsetzen, ohne dabei Endanwender direkt zu betreffen.
Der entscheidende Effekt an SPIFFE ist, dass die jeweiligen Services nun auf Identitäten und dynamisch bereitgestellten SVIDs authentisieren, statt auf IP-Adressen oder statischen Secrets. Diese Phase markiert den Übergang von einem ergänzenden zu einem wirksamen Identity-Mechanismus im Tagesbetrieb.
Im stabilen Betrieb entfaltet SPIFFE seinen größten Nutzen. Identitäten sind kurzlebig, automatisch erneuert und eindeutig zuordenbar. Mit dem weiteren Ausbau und der Integration weiterer Umgebungen kann ein einheitliches Identitätsmodell über Cloud-Grenzen und Plattformen hinweg geschaffen werden. Kommunikationsbeziehungen lassen sich nachvollziehen, Audit-Anforderungen leichter erfüllen und Sicherheitsvorfälle schneller eingrenzen. Mit wachsender Plattformgröße skaliert das Modell ohne zusätzlichen administrativen Aufwand. Neue Workloads erhalten ihre Identität automatisch, bestehende Prozesse bleiben unverändert und statische Secrets, die überall verteilt (und vergessen) werden, gehören der Vergangenheit an.
Identity Security wird damit von einer manuellen Aufgabe zu einer Plattform-Eigenschaft und somit zum wesentlichen Baustein in einer Zero-Trust-Umgebung. Für den Administrationsalltag bedeutet dies weniger Pflegeaufwand, höhere Sicherheit und eine belastbare Grundlage für zukünftige Plattform- und Cloud-Strategien.
Maschinenidentitäten werfen zunehmend Sicherheitsfrage auf. Nicht, weil Microservices per se riskant wären, sondern weil klassische Identity-Mechanismen nicht für dynamische Workloads und hybride Betriebsmodelle ausgelegt sind. SPIFFE und SPIRE bieten hier einen pragmatischen Ausweg: Sie ersetzen die Logik „Identität = Secret“ durch ein standardisiertes Modell aus Workload-Identitäten und kurzlebigen Nachweisen – und stärken die Unternehmensgrenzen gegenüber Angreifern.
Über den Autor: Roland Baum ist Geschäftsführer der umbrella.associates GmbH. Im Mittelpunkt seiner täglichen Arbeit mit Kunden steht die Beratung. Denn für geschützte Identitäten brauchen Unternehmen eine maßgeschneiderte Strategie.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/32/69/3269eeebf27d7b8351d3735f75fee835/0130368473v1.jpeg "Der Autor: Eugeny Malyutin ist Head of LLM bei Sumsub (Bild: Sumsub)")
:quality(80)/p7i.vogel.de/wcms/c8/23/c82308d39ba056b2e2806e160a7a5d37/0130998029v1.jpeg "Zwei Sicherheitslücken gefährden Samsung MagicINFO 9 Server. Eine davon wird bereits aktiv ausgenutzt. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/82/1b82f6c30153361498d21d56d8a0a44e/0130843915v2.jpeg "Statische Secrets sind die strukturelle Schwäche hybrider IT. SPIFFE und SPIRE ersetzen sie durch automatisierte, kurzlebige Workload-Identitäten für den Mittelstand. (Bild: © Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/bc/01bcd2752848192e822594dcaf1a59a8/0131086001v2.jpeg "Google DeepMind, Microsoft und xAI haben mit dem National Institute of Standards and Technology bereits eine Vorab-Prüfung ihrer KI-Modelle vereinbart. Per Executive Order könnte dies verpflichtend für alle Anbieter werden. (Bild: Limitless Visions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/9c/189c0d22c297f44cbb4561dad9125b23/0130709162v1.jpeg "Cloudflare Mesh vernetzt KI-Agenten, Menschen und Multi-Cloud-Infrastruktur in einer privaten, verschlüsselten Fabric. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/6c/31/6c31db5fda2e2a3d8ad611af2d8f6514/0130849977v1.jpeg "kube-hunter scannt Kubernetes-Cluster aus Angreiferperspektive und deckt reale Zugriffspfade auf, die klassische Konfigurationsanalysen oft übersehen. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d7/ab/d7ab758d53e1715c628d27dda3d9b308/0130832273v2.jpeg "Unkontrollierte VPN-Zugänge sind eine offene Tür für Angreifer. Privileged Access Management ersetzt VPN durch granulare Kontrolle und automatisierte Rechtevergabe. (Bild: © ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/eb/f9eb0ec3acf7efc9b0b695a9760acd9f/0130736463v1.jpeg "Ab Juni laufen die Secure-Boot-Zertifikate für Windows und Linux ab. Das Problem für viele Admins ist nun, dass das bloße Importieren aktueller Zertifikate nicht reicht heißt. Diese müssen auch aktiviert werden. Erst wenn Provisioning, Verarbeitung und Reboot erfolgreich abgeschlossen sind, ist ein System wirklich auf dem neuen Stand! (Bild: JDisc GmbH)")
:quality(80)/p7i.vogel.de/wcms/e5/29/e5297e45d3e48536e75a8e17432168bf/0130942356v2.jpeg "G Data, Ikarus und Securepoint gehen eine Partnerschaft ein. Geplant sind gemeinsame Managed Services und der Austausch von Threat Intelligence. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/d2/9d/d29d95716693afcdced3e70f270f8eac/0130686126v1.jpeg "IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden. (Bild: Jirsak via Getty Images Pro)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/a2/b6a20db459a762ea337e681e4528b2f0/0116335280v2.jpeg "Viele Bots und andere nicht-menschliche Identitäten greifen regelmäßig auf sensible Unternehmensdaten zu und brauchen genauso Schutz wie ihre menschlichen Benutzer. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/9a/a59ab62029350d6d43ebe09ef9ad4797/0129861758v1.jpeg "Zero Trust kann nur gelingen, wenn ein umfassendes, risikobasiertes Identitätsmanagement vorhanden ist. (Bild: © Vogel IT-Medien / Strive Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/2c/532c10781f9f1130ab3b7d574233de98/0125727646v2.jpeg "Verteilte Identitäten, gebündelte Kontrolle: Wie Identity Fabrics moderne IT-Umgebungen sichern. (Bild: © ink drop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/f2/baf2c8d4685c0d7718d5ea421de40994/0118686364v2.jpeg "Cybersicherheit steht und fällt mit sicheren digitalen Identitäten – sowohl bei Menschen als auch bei Maschinen. In diesem eBook erfahren Sie die besten Maßnahmen, um Ihre Identitäten besser zu schützen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/26/ca/26cabeb48aa3d45efb1a07e68823dc0e/0128202056v1.jpeg "Im Jahr 2026 machen diese sieben IAM-Trends Identitäten, KI und Regulierung zum Taktgeber moderner Sicherheitsarchitekturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7f/da/7fda7be1eba4b7af25abe3ac176b62e4/0127615649v2.jpeg "Identity & Access Management bildet das Rückgrat digitaler Souveränität – es schafft Transparenz, Kontrolle und Vertrauen in einer vernetzten IT-Welt. (Bild: © Daniel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/ca/26cabeb48aa3d45efb1a07e68823dc0e/0128202056v1.jpeg "Im Jahr 2026 machen diese sieben IAM-Trends Identitäten, KI und Regulierung zum Taktgeber moderner Sicherheitsarchitekturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/31/4631205086a0a3e7bc18fcd8893070cb/0128311799v1.jpeg "Der Datadog-Report „State of Cloud Security 2025“ beleuchtet, wie Unternehmen Daten-Perimeter aufbauen, Multi-Accounts absichern und mit langlebigen IAM-Zugangsdaten ringen. (Bild: Midjourney / Paula Breukel / KI-generiert)")